Hoy en día es primordial realizar copias de seguridad de nuestros datos.
ya sea por cuestiones de seguridad ante ataques informáticos (como ransomwares) por obligaciones legislativas o bien por pérdidas de información por error humano (al borrar archivos accidental o intencionadamente), o de hardware (al estropearse alguno de los componentes de un equipo informático).
Aunque hay muchas alternativas a la hora de realizar las copias de seguridad, en este artículo nos vamos a centrar en las que se realizan en la nube.
Este es el sistema mas novedoso a la par que sencillo y económico si bien es un sistema que está con nosotros desde ya hace tiempo.
Pro y contras de las copias de seguridad en la nube
Las copias de seguridad en la nube tiene sus pros y sus contras. Debemos hacer una valoración para saber si este tipo de sistema es el que mejor se adapta a nosotros, comprobar si cumple con nuestras necesidades.
Algunas de los pros de las copias de seguridad en la nube son:
- Reducción de costes: toda la infraestructura necesaria para almacenar las copias no las proporciona el proveedor del servicio. Ya no será necesario invertir en hardware como cintas, cabinas de discos,… que suponían un coste importante.
- Disponibilidad: podremos acceder a nuestros datos prácticamente desde cualquier sitio donde dispongamos de una conexión a internet, muy importante ante fallo catastróficos.
- Los proveedores deben garantizar unas medidas de seguridad adecuadas en sus sistemas que normalmente son muy superiores a la media que se suele encontrar en cualquier entidad normal.
- Si se configura adecuadamente, podremos tener una mayor capacidad de reacción ante infecciones ya que no se vera afectada para nada nuestra copia de seguridad.
Algunas de las contras de las copias de seguridad en la nube:
- La gran disponibilidad que antes comentamos como ventaja depende exclusivamente de tener una conexión a internet, aunque si es verdad que en la actualidad es muy poco usual tener alguna incidencia que afecte a nuestra conexión a internet durante un tiempo prolongado.
- Los datos salen de nuestras instalaciones, por lo tanto, podría existir la posibilidad de una exposición de la información de la que somos responsables. Por este motivo, es importante seleccionar adecuadamente el proveedor.
- Dependemos de un tercero. Por ejemplo, ante un cese del servicio nos podríamos ver considerablemente afectados, aquí de nuevo es importante elegir bien quien será nuestro proveedor y que nos dé garantías. Los servicios gratuitos no suelen aportar las suficientes ya que están más enfocados a uso personal y no empresarial.
¿Cómo elegir la copia de seguridad en la nube?
Este será nuestro primer paso y no deberemos darlo en falso ya que marcará considerablemente la diferencia respecto a seguridad y disponibilidad de la información que allí almacenemos.
En un primer momento, podemos tener en cuenta los sellos de confianza referentes a servicios de cloud computing.
Los proveedores que cuentan con este tipo de sellos, nos garantizan que realizan análisis de seguridad periódicos y cumplen con la normativa vigente.
Para no tener que ir uno por uno comprobando en cada proveedor si disponen de este tipo de sellos de confianza, se puede consultar en las páginas webs de estos mismos sellos el listado de empresas que están adscritas, como por ejemplo, en ofrecido por la organización CSA Cloud Security Alliance.
En concreto, esta organización sin ánimo de lucro, asigna a los servicios de nube diferentes niveles de certificación y cuanto mayor sea significa que tiene mas controles de seguridad y transparencia en las auditorías realizadas.
- Nivel 1: proceso de autoevaluación continua que consiste en seguir varios controles de seguridad específicos del sector, incluido el cumplimiento del RGPD. Posteriormente esa información se hace pública para que cualquiera pueda consultarla.
- Nivel 2: proceso de evaluación siguiendo los criterios AICPAy del estándar ISO 27001:2017 realizado por una tercero independiente. También, se comprueba que se cumplan los requisitos indicados en el RGPD.
- Nivel 3: Nivel 3: nivel más alto que ofrece el sello de calidad, llevándose a cabo un proceso de auditoria continúa por un tercero cualificado y con transparencia total en los controles de seguridad implementados.
También nos dan la opción de descargar un informe de cada servicio para conocer los diferentes controles de seguridad que se llevan a cabo y si los cumplen o no.
Garantías en el servicio prestado de copia seguridad en la nube
Para no encontrarnos en situaciones no deseadas deberemos definir claramente la relación con el proveedor por medio de los acuerdos a nivel de servicio o ANS. Consiguiente de esta forma que establecer las garantías adecuadas por ambas partes. Los aspectos más relevantes son:
- las responsabilidades de cada una de las partes,
- duración del acuerdo,
- detallar el nivel de servicio ofrecido como:
- tasas de error permitidas,
- disponibilidad horaria,
- tiempos de respuesta y resolución,
- sanciones en caso de incumplimiento.
Cifrado de datos en la copia de seguridad en la nube
Previamente a almacenar nuestra copia de seguridad en la nube, deberemos cifrar nuestra información para reducir a un nivel adecuado el riesgo de que pueda ser accedida por personal no autorizado y que la privacidad pueda verse comprometida.
Para el cifrado de la documentación lo más recomendable es utilizar métodos criptográficos públicos considerados seguros y evitar aquellos cuya robustez no esté contrastada.
Pero siempre teniendo en cuenta que debemos estar al tanto de las noticias en materia de seguridad de la información ya que un método que hoy es seguro puede no serlo en un futuro si se descubre una vulnerabilidad.
Conclusión, ¿copia de seguridad en la nube o en local?
No existe un sistema perfecto o mejor que el otro en su totalidad. Por lo tanto, la mejor opción, en el caso de que se pueda asumir, es una combinación de ambos métodos, obteniendo de esta forma lo mejor de ambos sistemas y reduciendo considerablemente los inconvenientes que conlleva cada uno.
Al usar una combinación de ambos métodos nos permite usar estrategias como la 3-2-1, cuya base es la diversificación de las copias para garantizar que siempre hay una disponible.
Implementar un sistema de copias de seguridad en la nube puede marcar una diferencia considerable en el proceso de recuperación de la información de nuestra empresa cuando se sufre un incidente de seguridad o si, simplemente, se ha borrado algún fichero importante. Pero no se debe apostar todo a un único medio y más cuando dependemos de un tercero. Debido a esto, siempre deberemos tener una alternativa que haga uso de otro sistema que puede estar ubicado en nuestras propias instalaciones o fuera pero que no dependa del mismo proveedor que nos da el servicio de la nube.
